Corrupted Disk Image

VBR 다음 문제는 Corrupted Disk Image 라는 문제다.

이 문제에 대한 정보를 보자.

디스크 이미지가 열리지 않는다고하네.
한 번 확인해볼까?

앞 부분의 VBR 부분이 0xAA로 가득차 있다.
그냥 비트낭님의 문제에서 하도 많이 본 경우라서 이제는 바로 6번째와 마지막번째 섹터로 가야겠지?

6번째 섹터에는 VBR로 보이는 데이터가 있지않았다. 그럼 보나마나 NTFS 파일 시스템이였나보다.
당연하게도 애초에 위에 사진을 보면 짤만하게 0x200 오프셋 부분에 $I30이라는 속성에 대한 문자열이 보이니까 NTFS라는 생각을 더 빨리할 수 있다.

마지막 섹터로 가면 eR NTFS라는 문자열이 보이며 Press Ctrl+Alt+Del to restart라는 문자열과 마지막에 0x55AA의 시그니처가 보인다.
딱봐도 NTFS의 VBR이다.
이걸 이제 HxD로 열어서 앞부분에 덮어씌워주면 되는데,
다짜고자 문제에서 준 CorruptedDiskImage.E01을 HxD에서 열면 VBR이 있어야하는 오프셋도, VBR의 복사본의 오프셋도 찾을 수 없다.
왜냐하면 이건 E01 파일로 어느정도 압축이 들어간 이미지 파일이라서 이다.
그러므로 FTK Imager에서 CorruptedDiskImage.E01 을 열고
열어진 원본 내용에 대해서 Export Disk Image 를 통해서 새로 만들어주고 그 파일을 HxD로 열어야지 처음 섹터에 0xAA로 가득찬 VBR영역, 마지막 섹터에 VBR 복사본이 나오게된다.

Raw (dd) 디스크 덤프 형태로 이미지를 추출해주자.

당연히 dd 형태로 이미지를 뜨기 때문에 Compression은 0으로 고정이고,
단편화는 기본 1500이 아닌 0으로 바꿔줘야지 원본 형태에서 우리가 찾아가려는 영역으로 가기 편해지니까
0으로 바꿔서 Export 해준다.

HxD로 열면 FTK Imager로 본 것처럼 잘 나온다
우리의 목표는 마지막 섹터에 있는 VBR 복사복을 통해서 VBR을 복구해주는 것이다.

마지막을 복사해주고 앞에 덮어씌워주자.

이전 포스팅에도 적었지만,
ctrl c + ctrl v 가 아니라
ctrl c 로 hex 값을 복사하고
그 위에 끼워서 넣는 것이 아니라
덮어씌워야하므로
붙여넣기 쓰기인 ctrl b로 파일 내용을 수정해줘야한다.

그렇게 VBR을 복구해주고 복구된 이미지 파일을 FTK Imager로 열게 되면?

VBR이 복구되어 내용을 볼 수 있다.
그리고 root 쪽 파일을 보면 DO_NOT_READ_THIS.png 라는 파일이 있는데 이걸 확인해보면

flag is DH{sha-256(keyFile)} 이라는 문자가 있다.

딱 보아하니
아래에 있는 keyfile이라는 파일의 sha256 해시값이 플래그 값이 되나보다.
해시값은 드림핵에서 알려준 HashCalc 를 통해서 구할 수도 있지만,

나는 powershell에 내장된 getfile-hash 함수가 더 편하니까 이걸로 구해보겠다.
해당 파일을 export하고 폴더에 저장하여서 powershell로 구해보겠다.

해당 해시값을 넣은
DH{해시값}이 정답이다.

다만 한가지 더 알려주고 싶은 점은 플래그 값이 HashCal 로 구하게 되면 해시값이 소문자로 표기되나보다.
powershell로 구하는건 대문자로 해시값이 나와서 소문자로 바꿔줘야지 플래그가 맞아떨어진다.